Kontaktformular mit Bestätigungsmail?

[Klaus]

>Leider kommen jetzt auch die ganzen leeren Nachrichten durch

Meine Aussage mit dem Leer und dem SoapUI, Postman, curl, ... bezog sich auf den Beitrag von Detlev hier:
viewtopic.php?p=16292#p16292

Ja man kann die Mailskripte auch mit Tools aufrufen und dort kann man senden was man möchte.
(curl "https://niederastroth.de/Mail/mailendfassung.php" -X POST -H "Content-Type: application/x-www-form-urlencoded" --data-raw "captcha=Ostern")
Wird also nur im Browser mit HTML5 oder JavaScript validiert ist das nicht genug.

Frontendvalidierung ist eigentlich nur eine "Unterstützung" für den Kunden damit er nichts vergisst oder im falschen Format einträgt und bietet ansonsten keine Sicherheit.

Validiert wird IMMER im Backend!
Wird das im Mailskript mit PHP gemacht dann passt das auch.
Bei Detlev war das vermutlich im Backend nicht drinnen und deswegen hat er leere Mails bekommen.

Leere Mails sind zwar unschön aber eigentlich nicht das Problem.
Problem ist eher wenn der Schutz umgangen werden kann und das Skript 1000+ Mails rausfeuert.

Der andere Punkt warum so viel gekommen ist ist wie ich vermute dass das Captcha 1 mal gelöst wurde und man dann x mal das Formular absenden kann ... ist also ggf. eine "Unschärfe" in Tommys Skript.
Hab ich noch nicht nachgesehen, hatte gestern aber so ausgesehen.

[Volker]

Auf jeden Fall habe ich das Script jetzt noch erweitert um leere Felder zu vermeiden.

Code: Alles auswählen

if (empty(trim($_POST["name"])) || empty(trim($_POST["email"])) || empty(trim($_POST["message"]))) {
    header("Location: fehler.html");
    exit;

Wenn also E-Mail, Name und Message leer ist, dann wird nix gesendet

[Volker]

Ja man kann die Mailskripte auch mit Tools aufrufen und dort kann man senden was man möchte.
(curl "https://niederastroth.de/Mail/mailendfassung.php" -X POST -H "Content-Type: application/x-www-form-urlencoded" --data-raw "captcha=Ostern")
Wird also nur im Browser mit HTML5 oder JavaScript validiert ist das nicht genug.

Ich Trottel bin immer davon ausgegangen das curl nur funktioniert wenn der andere Server das auch aktiviert hat

OK, dann aktiviere ich das bei mir auch mal und schaue wie das geht

[Klaus]

Ach so ne, das curl in der Shell hat mit dem curl Modul von PHP nicht so viel zu tun.

Das curl in PHP ist recht nützlich um innerhalb von PHP einen RestApiCall (Request) abzusetzen wie man es halt macht wenn man im mail Skript z.B. bei der google API das Token validieren will das aus dem Formular kommt.
S.h. mein Skript gestern Nachmittag.
Curl ist eine von meines Wissens 4 Möglichkeiten die es in PHP gibt:
https://www.php.net/manual/de/curl.examples-basic.php

[Volker]

Ich habe mal Tommys und mein Kontakt Formular testen lassen von denen hier :

https://www.dx-w3.com/en/bot-spam-test/

Beide Formulare wurden als Sicher eingestuft ( bei diesem Bot eben )

Ich weiß, heißt nix Aber immerhin nicht so ganz unsicher wie wir glauben.

[Tommy Herrmann]

sicher - nicht wirklich - nicht vor Profis wie Klaus


Hallo Klaus,

es kann ja eigentlich nur am Skript "mailscript.php" von Werner liegen, denn das Captcha umgehst du ja ohnehin – wie auch immer. Es wäre toll, wenn du eine Idee hättest, wie man mein Captcha nicht mehr umgehen kann, oder ist das gar nicht möglich? Ich habe jetzt die SESSION für das Captcha im "mailscript.php" gelöscht und geschlossen.

Ich habe jetzt am Ende vom "mailscript.php" zwei "exit" - Befehle hinzugefügt. Haben diese eventuell gefehlt? Das kann doch eigentlich nicht sein, denn da endet das Script doch sowieso.

Ist das so korrekt?

Code: Alles auswählen

  // E-Mail versenden
  if ($mail->Send()) {
   header("Location: " . $dankeSeite);
   exit;
  }
  else {
   header("Location: " . $fehlerSeite);
   exit;
  }
 }
}
?>

Weiterhin habe ich die SESSION jetzt auch am Ende direkt nach der Captcha-Prüfung gelöscht und geschlossen.

Code: Alles auswählen

// Session beenden, da sie nicht mehr benötigt wird
session_unset();   // Löscht die Session-Variablen
session_destroy(); // Beendet die Session

Hier ist nochmals für Dich, damit Du nicht suchen musst wenn Du heute Abend gucken solltest, mein Tutorialseite für das Captcha mit den gesamten dafür benötigten Scripts:

https://www.mobirise-tutorials.com/Kont ... orial.html

… und hier das eigentliche "mailscript.php" ohne das zusätzliche Captcha, das man selbst dort einbauen muss, in der Version vom 26. Februar 2025, das die Eingaben über den neuesten "PHPMailer v6.9.3" sendet:

https://www.mobirise-tutorials.com/Kont ... Mailer-New


P.S.:

Ich bin heute Abend allerdings nicht da.

[Volker]

Ich habe jetzt noch mal die KI gefragt was man alles einbauen könnte in das Mailscript.

Hier mal die Antworten:

Fazit: Welche Methode ist die beste?
Grundschutz: Honeypot, IP-Limit, Captcha
Mittel: Zeitverzögerung, Checkbox, User-Agent-Check
Maximaler Schutz: reCAPTCHA, IP-Blacklist, Spam-Score

Empfohlene Kombination für dich:

Honeypot-Feld
Time-Lock (5 Sek. Mindestzeit)
User-Agent-Check
Optional: reCAPTCHA oder Checkbox


Das mit dem Time-Lock ist einfach einzubauen.
Auch der User-Agent-Check ist leicht einzubauen.

Time Lock:
PHP-Implementierung:

Code: Alles auswählen

session_start();
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (!isset($_SESSION['form_start']) || (time() - $_SESSION['form_start']) < 5) {
        error_log("Spam erkannt: Formular zu schnell abgesendet.");
        exit;
    }
    unset($_SESSION['form_start']); // Reset nach Absenden
}

Und im HTML Formular:

Code: Alles auswählen

<input type="hidden" name="form_start" value="<?php echo time(); ?>">

User-Agent-Überprüfung:

Code: Alles auswählen

if (!isset($_SERVER["HTTP_USER_AGENT"]) || empty($_SERVER["HTTP_USER_AGENT"])) {
    error_log("Spam erkannt: Fehlender User-Agent.");
    exit;
}

[Volker]

Ich hab jetzt mal alles was geht in das Script gepackt

Session starten
IP-Rate-Limiting prüfen
Formular absenden checken (POST-Request prüfen)
Honeypot-Feld prüfen
Time-Lock (Min. Zeit prüfen, ob der Nutzer nicht zu schnell war)
User-Agent prüfen
E-Mail-Validierung & Wegwerf-E-Mail-Schutz
Spam-Score berechnen (optional)
Captcha prüfen (Groß/Kleinschreibung wird beachtet)
Erst jetzt: Daten aufbereiten & Mail senden

Code: Alles auswählen

<?php

/*
 * mailscript.php
 * Version mit Absender-Kopie, Bild Captcha und IP-Ratelimitierung
 */

use PHPMailer\PHPMailer\PHPMailer;
use PHPMailer\PHPMailer\Exception;

require __DIR__ . '/PHPMailer-master/src/Exception.php';
require __DIR__ . '/PHPMailer-master/src/PHPMailer.php';

session_start(); // Session starten für Danke-Seite, Captcha und IP-Ratelimitierung

// --- IP-Rate-Limiting-Konfiguration ---
$ip = $_SERVER['REMOTE_ADDR'];
$limit_file = __DIR__ . '/rate_limit.json'; // Datei zur Speicherung der Zugriffsversuche
$max_attempts = 3;        // Maximal erlaubte Versuche innerhalb des Zeitfensters
$time_window   = 10 * 60;  // Zeitfenster in Sekunden (hier: 10 Minuten)

// Lade vorhandene Daten, falls vorhanden
if (file_exists($limit_file)) {
    $data = json_decode(file_get_contents($limit_file), true);
} else {
    $data = [];
}

// Aktuelle Zeit
$current_time = time();

// Bereinige alte Versuche (älter als das Zeitfenster)
foreach ($data as $ip_address => $attempts) {
    $filtered_attempts = array_filter($attempts, function($timestamp) use ($current_time, $time_window) {
         return ($current_time - $timestamp) <= $time_window;
    });
    if (!empty($filtered_attempts)) {
         $data[$ip_address] = $filtered_attempts;
    } else {
         unset($data[$ip_address]);
    }
}

// Prüfen, ob die aktuelle IP das Limit überschritten hat
if (isset($data[$ip]) && count($data[$ip]) >= $max_attempts) {
    header("Location: banned.html");
    exit;
}

// Logge diesen Versuch
$data[$ip][] = $current_time;
file_put_contents($limit_file, json_encode($data));

// --- Formularverarbeitung ---

// Empfänger-Daten
$empfaengerName  = "Dein Name";
$empfaengerEmail = "Deine@emailadresse.de";
$dankeSeite      = "danke.php";
$fehlerSeite     = "fehler.html";
$betreffEmail    = "Kontaktformular Homepage";

// Wurden POST-Daten gesendet?
if ($_SERVER["REQUEST_METHOD"] == "POST") {

 // Überprüfe, ob Pflichtfelder ausgefüllt wurden
    if (empty(trim($_POST["name"])) || empty(trim($_POST["email"])) || empty(trim($_POST["message"]))) {
        header("Location: fehler.html");
        exit;
    }

 // Captcha-Überprüfung (unabhängig von Groß-/Kleinschreibung)
    if (!isset($_SESSION['captcha_word']) || strtolower(trim($_POST['captcha'])) !== strtolower($_SESSION['captcha_word'])) {
        header("Location: " . $fehlerSeite);
        exit;
    }
    // Captcha ist korrekt – Eintrag entfernen
    unset($_SESSION['captcha_word']);

    // Zeitzone setzen
    date_default_timezone_set("Europe/Berlin");
    $datum = date("d.m.Y H:i");

    // Eingaben bereinigen
    $name    = htmlspecialchars(strip_tags($_POST["name"] ?? ""));
    $email   = filter_var($_POST["email"] ?? "", FILTER_VALIDATE_EMAIL);
    $phone   = htmlspecialchars(strip_tags($_POST["phone"] ?? ""));
    $message = htmlspecialchars(strip_tags($_POST["message"] ?? ""));

    if (!$email) {
        header("Location: " . $fehlerSeite);
        exit;
    }

    // Inhalt der E-Mail setzen
    $inhaltEmail = "Gesendet am: $datum Uhr
    Name: $name
    E-Mail: $email
    Phone: $phone
    Nachricht: $message
    ";

    // PHPMailer-Instanz
    $mail = new PHPMailer();
    $mail->CharSet = "UTF-8";

    // Fester Absender (damit es nicht blockiert wird)
    $mail->setFrom("no-reply@deinedomain.de", "Webseite Kontaktformular");
    $mail->addReplyTo($email, $name);

    // Empfänger setzen
    $mail->addAddress($empfaengerEmail, $empfaengerName);
    // Optional: "Antworten an" den Absender nochmals setzen
    $mail->addReplyTo($email, $name);

    // Der Absender bekommt eine Kopie
    $mail->addCC($email); // Falls BCC gewünscht: $mail->addBCC($email);

    // Betreff und Nachricht setzen
    $mail->Subject = $betreffEmail;
    $mail->Body    = $inhaltEmail;

    // E-Mail versenden
    if ($mail->send()) {
        // Daten für die Danke-Seite speichern
        $_SESSION['name']    = $name;
        $_SESSION['email']   = $email;
        $_SESSION['phone']   = $phone;
        $_SESSION['message'] = $message;

        header("Location: " . $dankeSeite);
        exit;
    } else {
        error_log("Mail-Fehler: " . $mail->ErrorInfo);
        header("Location: " . $fehlerSeite);
        exit;
    }
}
?>

Jetzt kann Klaus sich mal austoben

[Tommy Herrmann]

Volker,

ich glaube, du hast deiner KI nicht mitgeteilt, was im Formular von Mobirise bereits alles passiert. Es sind viele Elemente enthalten, die nicht notwendig sind.

Zum Beispiel sorgt das Attribut "required" bereits dafür, dass ein Feld nicht leer bleibt. Das ist doch so alles doppelt gemoppelt - auch wird z.B. durch den Input type="email" ein Feld automatisch auf das E-Mail-Format validiert

Wozu wiederholst du das jetzt alles in deinem modifizierten Script oder was willst du damit erreichen?

Und was meinst du mit "optional reCAPTCHA"? Das lässt sich nicht einfach so implementieren. Das, was Detlev im Mobirise-Formular belassen hat, funktioniert nicht ohne die entsprechenden API von Google und der Sicherheitsschlüssel ist im Klartext dadurch sichtbar geworden. Diesen Bug habe ich bereits an Mobirise gemeldet.

Übrigens waren all die anderen Methoden wie Honeypot, IP-Sperre oder Time-Lock damals bei mir ebenfalls im Einsatz, als ich im Sekundentakt Spam erhalten habe. Der alte Formular-Generator von Werner bietet all diese Funktionen an.

Nun sind die Demonstrationen von unserem Klaus wirklich intelligente Aktionen und nicht das Ergebnis vorprogrammierter Spambots. Das ist ein erheblicher Unterschied. Was Klaus kann, ist für die meisten Bots nach wie vor unerreichbar.

Bei mir versuchen seit damals, im November 2023, immer noch einige der gleichen Spambots das gleiche Formular zu hacken, das seit eineinhalb Jahren gar nicht mehr gibt

[Volker]

Hallo Tommy,

ich zitiere mal Detlev

in der Script-Datei und es kommen im Minutentakt Spammails an ohne Inhalt oder mit Pseudo-Namen oder halt mit Telefonnr.
Und das trotz des Captchas...

Ich glaube nicht das er in seinem Formular kein "required" gesetzt hat, zumindest bei der E-Mailadresse.
Deswegen habe ich das so mal eingebaut.

Wozu wiederholst du das jetzt alles in deinem modifizierten Script oder was willst du damit erreichen?

Die Sicherheit gegen Spambots erhöhen

Obwohl im Formular Feld ein ausfüllen zwingend ist, kommen ja anscheinend Mails an die leer sind, so wie ich Detlev verstanden habe.

Time Lock soll halt prüfen wie schnell das Formular ausgefüllt wird. Bots machen das im Sekunden Takt.

Außerdem schaden diese Erweiterungen ja nicht im Script. Ob es sicher ist .... ich vermute es mal

[Tommy Herrmann]

Du - das mit den leeren Feldern machen die Hacker anders - wie weiß ich auch nicht. Bei mir waren alles Pflichtfelder damals und in keinem einzigen Feld war ein Eintrag.

Dein Time-Lock interessiert die Bots überhaupt nicht, ebesno die IP-Sperre nicht.

Nee - schaden tut das nichts - nutzt aber auch (meist) nix. Jedenfalls nicht, wenn Du es mit Hackern aus Russland oder China zu tun hast, wie ich es hatte.

[Volker]

Du - das mit den leeren Feldern machen die Hacker anders - wie weiß ich auch nicht. Bei mir waren alles Pflichtfelder damals und in keinem einzigen Feld war ein Eintrag.

Jetzt bin ich verwirrt

Wie sollen die Bots denn leere Felder senden, wenn nicht über das Mailscript ? Verstehe ich gerade nicht.

[Tommy Herrmann]

Das hätte ich auch gerne gewusst. Ich weiß noch nicht einmal wie Klaus mein Captcha umgeht und mir innerhalt von 2 Minuten Hundert leere Mails geschickt hat.

Wahrscheinlich muss ich auf meine alten Tage noch zum Hacker werden, damit ich es verstehe

[Volker]

Dann warten wir mal bis Klaus sich meldet zu dem Thema.
Mir konnte er bis jetzt keine leeren Mails senden

[Tommy Herrmann]

Du ich habe damals bei der Attacke sicherlich 50 Formulare auf meinen Seiten gelöscht - auch noch ganz alte NOF-Formulare. Es hörte aber erst auf, nachdem ich mein Haupt-Formular und das war damals vom Werner mit den Schutzmaßnahmen Zahlenrätsel, IP-Sperre und Zeit, sowie auch noch Honeypot versehen, gelöscht hatte.

Keine Ahnung

Bis heute, 18 Monate später, greift derselbe Bot weiterhin dieses nicht mehr existierende Formular an, was man an den Log-Dateien von meinem Provider "IONOS" sehen kann.

[Klaus]

... zuviel der Ehre Tommy ... nein so gut bin ich nicht, ich bin nur ein einfacher kleiner Amateur SPAMer! ;-)

Ne ich hab bei Deinem Formular nur 1 mal das Captcha gelöst und den Request im Browser (F12) einfach wiederholt und die Felder bis auf die Captchalösung entfernt und dann halt x mal rausgefeuert.
(Das ging eben weil Du in der mail.php die Felder nicht geprüft hast und nach dem Absenden die Session nicht gelöscht hast.)

Wie geschrieben ich gehe nicht davon aus dass das Ziel von einem SPAMer ist leere Mails an den Seitenbetreiber selber zu senden. Ich tippe eher darauf dass erst mal geguckt wurde was man so senden kann und ob man das auch an andere senden kann.
Idealerweise sendet das Formular eine beliebige Message an beliebige E-Mail Adressen.

Auch mit der Grund warum ich eine autom. Antwort an den "vermeintlichen Absender" nicht mag, was soll den das?
Der weiß doch was er gerade versendet hat und obs geklappt hat oder nicht wird ihm doch angezeigt.

... hab die Woche aber eh keine weitere Zeit mich damit zu beschäftigen ... WE ggf. wieder ...

[Tommy Herrmann]

Moin Klaus,

ich wäre Dir allerdings schon sehr dankbar, wenn Du mal am Wochenende oder wann auch immer über das Script "mailscript.php" vom Werner guckst und auch über das Script für das zusätzliche Captcha von mir, das ich mit der KI "ChatGPT" erstellt hatte. Ich kann da selbst keinerlei Fehler finden.

Immerhin habe ich da schon fast 7.000 Downloads und bisher noch keine Beschwerden außer das Spam-Problem vom Detlev hier. Daher ist es mit sehr wichtig, dass es da keine gravierenden Fehler gibt.

Diese Scripts hatte ich in meinem letzten Post an Dich zusammengestellt, damit Du nicht lange suchen musst:

viewtopic.php?p=16395#p16395

Dort hatte ich auch noch das Löschen der SESSION hinzugefügt, wobei die KI meinte, dass das "normalerweise" nicht notwendig wäre:

Nein, in den meisten Fällen musst du die $_SESSION nicht explizit schließen, da PHP die Session automatisch am Ende des Skripts speichert und beendet. Allerdings gibt es Situationen, in denen es sinnvoll sein kann, die Session explizit zu beenden, insbesondere wenn du die Session-Daten nicht weiter benötigst oder Sicherheitsrisiken minimieren möchtest.

[Volker]

Ich denke am besten ist es den Mailer der jeweiligen Software zu nutzen

Ich hab ja den DA Form Maker und der erlaubt es mir entweder das Mailscript selber zu hosten, oder eben das zu nutzen, was auf deren Servern läuft. Ich denke bei Arclab ist es ähnlich

So ist man fein raus was Spam Mails betrifft

[Tommy Herrmann]

Gucke Dir mal "Arclab" an.

Dieser Formular Generator ist allerdings nur für Windows und wird als .exe am Rechner installiert. Es wird also alles am eigenen Rechner generiert und nicht online, wie bei den meisten dieser Programme.

Du kannst den mit eingeschränkten Möglichkeiten auch kostenlos testen.

Andererseits kostet dieser Generator nur eine einmaligen Kaufpreis inklusive 1 Jahr Updates. Will man später dennoch Updates, zahlt man nochmals die Hälfte des Kaufpreises für ein weiteres Jahr Updates. Da kommen aber kaum noch Updates, anscheinend kann man da nichts mehr verbessern.

Die Seite von "Arclab" ist jedoch gerade nicht aufrufbar, wird anscheinend neu gestaltet. Keine Ahnung. Hoffentlich wurde diese Anwendung nicht aufgegeben!?

Hier geht es aber doch darum etwas zu lernen, nämlich was da noch an unseren Formularen unsicher ist und besser gemacht werden könnte.

[Klaus]

> ist jedoch gerade nicht aufrufbar

Das "gerade" ist schon glaube seit dem letzten WE so, wollte hier schon mal fragen ob das außer mir keiner sonst hat.
... und auch ich hab mir überlegt ob ihre SW so "gut" war dass sie ihnen die Kiste "aufgemacht" haben!? ;-)